Postado em: 01/08/2022 - Informativos

Condenação por vazamento de dados sobre gravidez evidencia impacto da LGPD

A condenação de um laboratório pelo uso de dados sensíveis para oferecer seus serviços a uma gestante, que não havia autorizado o compartilhamento das informações, repercutiu de maneira positiva entre especialistas em proteção de dados. A decisão do Tribunal de Justiça de São Paulo foi divulgada nesta quinta-feira (21/7) pela ConJur.

Segundo os autos, dias após sofrer um aborto espontâneo, uma mulher recebeu mensagens de WhatsApp de um laboratório com uma oferta de coleta e armazenamento de cordão umbilical. Ela alegou não ter fornecido seus dados pessoais, nem informações sobre a gravidez, para o laboratório. Em contestação, a empresa disse que só teria utilizado dados não sensíveis e não sigilosos (nome e número de telefone).

No entanto, o entendimento do TJ-SP foi de que a gravidez é um dado sensível, como dispõe o artigo 5º, inciso II, da Lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD). O dispositivo classifica como dado pessoal sensível qualquer informação referente à saúde das pessoas. Especialistas ouvidos pela ConJur concordam com o posicionamento dos magistrados.

Para a advogada Bianca Mollicone, sócia responsável pelas áreas de proteção de dados e compliance do escritório Pessoa & Pessoa Advogados e coordenadora do Instituto Legal Grounds, a lei protege os dados pessoais para proteger, em última instância, o próprio indivíduo e sua esfera privada. A gravidez, prosseguiu Mollicone, é um estado de saúde que traz, inclusive, diversas modificações no organismo da mãe, sendo, portanto, um dado sensível.

“Esse compartilhamento sem qualquer conhecimento da titular, agravado por se tratar de uma condição de saúde, certamente contraria princípios da LGPD e não encontra base legal para ser realizado. A lei vem no sentido de garantir o livre desenvolvimento da personalidade humana e autodeterminação informacional, em uma nova economia em que os indivíduos são datificados a todo o momento”, disse.

A advogada afirmou que, muito além da proteção dos dados pessoais, a lei também garante o livre desenvolvimento da personalidade frente à sociedade informacional em que vivemos: “A LGPD não pretende impedir o desenvolvimento econômico e tecnológico, mas sim incentivar que isso seja feito com respeito a pessoa humana, dentro dos limites legais e com um padrão ético, que respeite a expectativa do titular”.

A advogada Gisele Truzzi, especialista em Direito Digital e fundadora do escritório Truzzi Advogados, observou que a confirmação de uma gestação não é um mero dado cadastral. Para ela, a paciente poderia até incluir no polo passivo da ação o laboratório onde realizou o exame de gravidez, que seria o controlador da informação e com quem ela, de fato, manteve uma relação direta. Neste caso, haveria responsabilidade solidária entre quem compartilhou e quem recebeu a informação.

“Se ela passou por um laboratório para confirmação da gravidez e, depois, recebeu contato de um segundo laboratório, o primeiro também é parte legítima para constar no polo passivo da ação. Seria caso de responsabilidade solidária entre o controlador e o operador dos dados. A LGPD prevê a responsabilidade solidária nessas situações, até por conta da relação que deve existir entre as duas empresas”, explicou.

Dirceu Santa Rosa, advogado especializado em proteção de dados e líder regional da IAPP (International Association of Privacy Professionals), ressalta que o titular precisa consentir, inclusive, com o uso dos dados para finalidades específicas, como por exemplo, o envio de informações sobre a gravidez para um laboratório de coleta de cordão umbilical: “Pela lei, o compartilhamento de dados sensíveis só pode ser feito com pleno e total consentimento. Tudo precisa ser detalhado. Do contrário, há violação à proteção dos dados.”

O advogado especialista em Direito Digital Luiz Augusto D’Urso, que também preside a Comissão Nacional de Cibercrimes da Associação Brasileira dos Advogados Criminalistas (Abracrim), considera que a LGPD trouxe uma alteração cultural ao país mediante um “empoderamento do titular”, que hoje entende a importância de seus dados serem bem cuidados pelas empresas.

“Com isso, aumentou a responsabilidade das empresas, que não podem permitir o vazamento e o compartilhamento indevido dos dados. Por isso que a LGPD tem um papel tão importante. Esse caso servirá de lição para todas as empresas, que precisam investir em cybersegurança e no sigilo das informações. Não há dúvida de que veremos mais decisões nesse sentido daqui para frente”, disse D’Urso.

Papel da ANPD

Neste contexto, o advogado Adriano Mendes, sócio do escritório Assis e Mendes Advogados responsável pelas áreas de digital e proteção de dados pessoais, destacou o papel da ANPD, a Autoridade Nacional de Proteção de Dados, órgão da administração pública federal previsto na LGPD, responsável por orientar, regulamentar e fiscalizar o cumprimento da legislação. Segundo ele, a ANPD também poderia atuar no caso do compartilhamento de dados julgado pelo TJ-SP.

“Apesar de o TJ-SP ter acertado, o laboratório também poderia ser autuado pela ANPD, que é quem fiscaliza e multa as empresas por uso de dados de forma irregular. As multas da LGPD são muito maiores que R$ 10 mil e podem chegar a 2% do faturamento da empresa, além da suspensão e bloqueio de bancos de dados. O problema é que, até agora, ainda não saiu a dosimetria das penas e a forma como a Resolução CD/ANPD 1 será interpretada”, disse o advogado.

A Resolução CD/ANPD 1 foi publicada em outubro de 2021 e detalha o processo de fiscalização e de sanções no âmbito do órgão. No entanto, segundo Mendes, ainda há questões em aberto: “A gente não sabe se esse laboratório receberia uma advertência, multa de 2% ou teria o banco de dados bloqueados. Nós, juristas, entendemos que, enquanto isso não estiver perfeito, a ANPD não pode começar um processo administrativo.”

Fonte: Conjur.